Recomendados
Recomendados
Más contenido relacionado
Similar a cobit
Similar a cobit (20)
cobit
- 2. الثقة خدمات اطار : بين باالشتراك تطويره تم اطار هو AICPA و CICA , بمجموعها تكون التي المبادئ من مجموعة من يتكون المحاسبية المعلومات في الموثوقية لتقييم دليل ظ في المعلومات تكنلوجيا على الرقابة تنظيم الى اضافة ل وهي مترابطة مبادئ خمسة : - االمن Security - السرية Confidentiality - الخصوصية Privacy – تكامل المعالجة Processing Integrity - الجاهزية Availability
- 3. Two Fundamental Information Security امن مبادئ المعلومات Concepts 1 - تقنية قضية ليست و ادارية قضية االمن : االمن حياة دورة : - االستجابة اختيار و التهديدات تقدير - معينة سياسة توصيل و تطوير - تنفيذها و الحلول على الحصول - االنجاز مراقبة
- 4. 2 - نموذج االمن المستند الى الوقت THE TIME-BASED MODEL OF INFORMATION SECURITY P > D + R ) ) الدفاع في العمق (defense-in-depth) و هو استراتيجية تحاول المنظمات بموجبها حماية اهداف نموذج الحماية المعتمد على الوقت و التي تقوم على اساس استخدام اك ثر من مستوى واحد من الرقابة لتجنب الفشل في االجراءات ذات الخطوة الواحدة
- 5. فهم الهجمات المستهدفة Understanding Targeted Attacks الخطوات األساسية التي يتبعها المجرمون للهجوم على نظام معلوم ات المنظمة 1 - عليها الهجوم المستهدف الشركة عن معلومات جمع و استطالع اجراء . 2 - االجتماعية الهندسة احتيال اساليب على االعتماد 3 - المشركة في المتنوعة االتمتة ادوات الى اللجوء خالل من الهدف تحديد و مسح المستخدمة البرمجيات و لمستهدفة . 4 - استغاللها محاولة و بالبرمجيات الضعف نقاط عن البحث . 5 - المعلومات نظام مميزات من االستفادة محاولة و الهجوم تنفيذ . 6 - لنظام المستمر الدخول مسار و المهاجمون سيستخدمه الذي الغطاء اختيار الضحية الشركة معلومات , ؟ قوية الداخلية الرقابة كانت اذا اال
- 6. المعلومات مصادر حماية Protecting Information Resources بموجب تحتويها التي االنظمة و المعلومات مصادر حماية يتم التصحيحية و الرصدية و الوقائية الرقابة من طرق ثالث , يلي كما و الوقت نموذج عناصر باستخدام : - هي و اجزاء اربعة بموجب تعمل الوقائية الرقابة : ( العمليات – تكنلوجية حلول - تغيير االدارة - حماية طبي عية .)
- 7. اهمها طرق بعدة الوقائية الرقابة تطوير يتم : - االشخاص : أ - المستمر االمن ثقافة خلق : يحدد COBIT وجه على عوامل من كواحدة المؤسسة وأخالقيات ثقافة التحديد الفعال المعلومات ألمن الحاسمة التمكين . و ثقافة إلنشاء اعية التنظيمية بالسياسات الموظفون فيها يلتزم لألمن
- 8. ب – التدريب : يحدد COBIT 5 مساعدة كأداة وكفاءاتهم الموظفين مهارات المعلومات أمن الفعالية لتحقيق أخرى مهمة . يف أن يجب هم المؤسسة أمن سياسات متابعة كيفية الموظفون . وبالت ، الي ف أهميتها تنعكس ،مهمة وقائية مراقبة هو التدريب فإن ي كممارسة يناقش األمني الوعي على التدريب أن حقيقة إدارة عمليات من العديد لدعم رئيسية COBIT 5
- 9. العملية : للمستخدم الوصول ضوابط PROCESS: USER ACCESS CONTROLS أن نفهم أن المهم من " الغرباء " الوحيد التهديد مصدر ليسوا . األسباب من لعدد اًساخط يصبح للموظف يجوز ( ، االنتقام الصعوبات أو ، المالية يتم قد م لتوفير ابتزازه علومات حساسة .) لذلك تحتاج من مجموعة تنفيذ إلى المنظمات غي االستخدام من معلوماتها أصول لحماية المصممة الضوابط ر الموظفين قبل من والوصول به المصرح .
- 11. أنواع رقابة المستخدم وصول : التخويل في رقابة . في ضوابط التوثق . . رقابة ّديالتق " صحة من التحقق " ن إلى الوصول يمكنه من ظام المؤسسة معلومات . التوثق رقابة هؤال يفعله أن يمكن ما تحد ء الوصول حق منحهم بمجرد األفراد .
- 12. التوثيق ضوابط AUTHENTICATION CONTROLS التوثيق النظام إلى الوصول يحاول جهاز أو شخص هوية من التحقق عملية . الهد هو ف التأكد شرعية من إلى الوصول النظام . هوية من للتحقق االعتماد بيانات من أنواع ثالثة استخدام يمكن الشخص . Three types of credentials can be used to verify a person’s identity 1 - شيء الشخصي الهوية أرقام أو السر كلمات مثل ، الشخص يعرفه ة ( PINs ) 2 - الهوية اشارات أو الذكية البطاقات مثل ، الشخص لدى شيء 3 - السلوكية أو الفيزيائية الخصائص بعض ( البيومترية الهوية ) ، للشخص الكتابة أنماط أو األصابع بصمات مثل
- 15. الرقابة على التخويل Authorization controls الرقابة على التخويل هي عملية تقييد المستخدمين أصحاب الحسابات األصلي ة إلوصول الى أجزاء محددة من النظام والحد من اإلجراءات المسموح لهم بها . كما توضح ممارسة COBIT 5 DSS06.03 ، فإنها طريقة تحافظ على الفصل بين الواجباب . على سب يل المثال ، ال ينبغي أن يكون ممثل خدمة العمالء مخول للوصول إلى نظام الرواتب . باإلضافة إلى ذلك ، ينبغي لممثلي خدمة العمالء يسمح فقط لقراءة ، ولكن ليس لتغيير أسعار، عناصر المخزون
- 17. عملية : اختبار االختراق PROCESS: PENETRATION TESTING : توضح عمليات الرقابة على COBIT 5 MEA01 الحاجة إلى إجراء اختبار دوري لفعالية العمليات التجارية والضوابط الداخلية ( بما في ذلك إجر اءات األمان ) . يوفر اختبار Penetration test طريقة صارمة الختبار مدى فاعلية االمان لمعلومات المؤسسة
- 18. عملية : تغيير السيطرة وإدارة التغيير PROCESS: CHANGE CONTROLS AND CHANGE MANAGEMENT تقوم المؤسسات بتعديل نظم المعلومات الخاصة بها باستمرار لتعكس ممارسات األعمال الجديدة واالستفادة من التقدم في مجال تكنولوجيا المعلومات . تغيير السيطرة وإدارة التغييرتشير إلى العملية الرسم ية المستخدمة لضمان إجراء تعديالت على األجهزة أو البرامج أو العمليات حتى ال تقل ل من موثوقية النظم . اًبغال ما تؤدي السيطرة الجيدة على التغيير إلى ت حسين األداء بشكل أفضل اًنظر لوجود مشكالت أقل في اإلصالح . و بتكاليف أقل عند حدوث الحوادث األمنية ، والقدرة على تحديد التغييرات غير المصرح ب ها بسرعة ومعاقبة المسؤولين عن تعمد التحايل على عملية تغيير .
- 19. التغيير في السيطرة عملية خصائص : - ال وأساسه ، التغيير طبيعة وتحديد ، التغيير طلبات جميع توثيق منطقي الطلب ونتائج الطلب تاريخ، . - المناس اإلدارة مستويات حسب التغيير طلبات جميع من موثقة موافقة بة . التغييرات بمراجعة العليا اإلدارة تقوم أن خاص بشكل المهم من هذا والموافقة الرئيسية عليها خط مع يتفق المقترح التغيير أن لضمان ط المدى طويلة إستراتيجية للمنظمة نظام في التغييرات جميع اختبار االختبارالمستخدم وليس،منفصل ف ي اليومية التجارية العمليات . خطر من يقلل هذا في التعديالت لت يؤدي عطيل العادية األعمال . ضوابط ال من كامل وبشكل بدقة البيانات نقل يتم أن لضمان التحويل قديم الجديد للنظام . عملية مراجعة الداخليين المراجعين على التحويل .
- 20. - الوثائق جميع تحديث ( أدلة اإلجراءات ، النظام أوصاف ، البرنامج تعليمات وما ، ذلك إلى ) حديثا تنفيذها تم التي التغييرات لتعكس . عملية خاصة للمراجعة في الوقت المناسب والموافقة عليها وتوثيق " التغييرات الطارئة " بمجرد األزمة كما هو عملي . يجب تسجيل جميع التغييرات الطارئة لتقديمها درب التدقيق . عدد كبير أو زيادة ملحوظة ف ي عدد التغييرات في حاالت الطوارئ هو عالم حمراء محتملة للمشاكل األخرى ( إجراءات إدارة التهيئة الضعيفة ، أو عدم وجود صيانة مسبقة ، أو " اللعب " السياسي لتجنب عملية التحكم في التغيير العادية ) . - تطوير وتوثيق خطط " التخلف " لتسهيل العودة إلى السابق تكوينات إذا كان التغيير الجديد يخلق مشاكل غير متوقعة . مراقبة ومراجعة دقيقة لحقوق المستخدم وامتيازاته أثناء عملية التغي ير إلى ضمان الحفاظ على الفصل الصحيح للواجبات .
- 21. المستخدم حساب إدارة USER ACCOUNT MANAGEMENT COBIT 5 تشدد ممارسة اإلدارة على الح ا جة إلى إدارة جميع حسابات المستخدمين بعناية ، اًصوخصو الحسابات التي لها حقوق ( إدارية ) غي ر محدودة على هذا الكمبيوتر . هناك حاجة لحقوق إدارية من أجل تثبيت البرامج وتغيير معظم إعدادات التكوين . هذه القدرات القوية تجعل الحس ابات ذات أهداف إدارية أساسية للمهاجمين . لذلك ، يجب تعيين الموظفين ال ذين يحتاجون إلى صالحيات إدارية على كمبيوتر معين ، حسابين : أحدهما ل ه حقوق إدارية واآلخر لديه امتيازات محدودة فقط .
- 23. حلول المعلومات تكنولوجيا : IT SOLUTIONS: ENCRYPTION التشفير ENCRYPTION يوفر التشفير طبقة نهائية من الحماية لمن ع الوصول غير المصرح به إلى المعلومات الحساسة . هو عملية تغيير النص الطبيعي , من نص عادي مقروء الى لغة تقن ية غير مقروءة تدعى النص الطغرائي ( Cipher text Decryption ) ومن ثم قلب هذه العملية معيدا النص المشفر الى نص عادي . متانة التشفير Encryption Strength ثالث عوامل مهمة تقرر متانة اي نظام تشفير : ( 1 ) طول المفتاح , ( 2 ) سياسات االدارة الرئيسية , ( 3 ) طبيعة لوغاريتم التشفير
- 24. البدني األمان : PHYSICAL SECURITY: ACCESS CONTROLS من الضروري للغاية التحكم في الوصول المادي إلى موارد المعلومات . يحت اج المهاجم المهرة إلى بضع دقائق فقط من الوصول المادي المباشر غير الخاضع للرقابة من أجل تجاوز ضوابط أمان المعلومات الموجودة . أهم عناصر التحكم في الوصول الفعلي : يبدأ التحكم في الوصول المادي بنقاط دخول إلى المبنى نفسه . يجب أن يتمركز موظف استقبال أو حارس أمن عند المدخل الرئيسي للتحقق من هوية الموظفين . يجب أن تكون الغرف التي تحتوي على أجهزة الكمبيوتر مغلقة بشكل آمن ويتم مراقبة جميع الدخول / الخروج بواسطة أنظمة التلفزيون ذات الدائرة المغلقة .
- 27. أنظمة كشف التطفل : INTRUSION DETECTION SYSTEMS تتكون أنظمة كشف التطفل الشبكي ( IDS ) من مجموعة من أجهزة االستشعار ووحدة مراقبة مركزية تقوم بإنشاء سجالت لحركة مرور الشبكة التي مح ُ س لها بتمرير جدار الحماية ثم تحليل تلك الس جالت اًثبح عن عالمات على محاوالت نجاح أو توغل . مثل IPS الشبكة ، IDS الشبكة . ا ﻟﻣ را ﻗﺑﺔ ا ﻟﻣﺳﺗ د يمة COBIT5 CONTINU MONITORING ﺗﺷ دد ﻣﻣﺎ ر ﺳﺔ ا ﻹ دارة ﻋﻟﯽ أه ﻣﯾﺔ ا ﻟ ر ﺻ د ا ﻟﻣﺗ وا ﺻ ل ﻻﻣﺗﺛﺎ ل ا ﻟﻣ وظف ﻟﺳﯾﺎﺳﺎ ت أ ﻣ ن ا ﻟﻣﻌﻟ و ﻣﺎ ت ﻓﻲ ا ﻟﻣﻧ ظ ﻣﺔ وا ﻷ داء ا ﻟﻌﺎ م ﻟﻌﻣﻟﯾﺎ ت ا ﻷﻋﻣﺎ ل
- 28. الهجمات على الرد Responding to Attacks إن الكشف في الوقت المناسب عن المشاكل رغم أهميته ال يكفي ، لذلك تحتاج المؤسسات اًضأي إلى إجراءات للقيام بإجراءات تصحي حية في الوقت المناسب من خالل الضوابط التصحيحية والتي تتمثل باالتي : فريق االستجابة للحاسوب ( Cirt ) Computer IncIdent response team كبير موظفي أمن المعلومات ChIef InformatIon securIty officer (Ciso)
- 29. المحاكاة االفتراضية : هي قوة وسرعة أجهزة الكمبيوتر الحديثة لتشغيل أنظمة متعدد ة في وقت واحد على كمبيوتر فعلي واحد . الحوسبة السحابية : عرض النطاق الترددي العالي لشبكة االتصاالت العالمية الحديث ة لتمكين الموظفين من استخدام المتصفح للوصول عن بعد إلى البرامج ( البرمجيات كخدمة ) ، وأجهزة تخزين البيانات ( التخزين كخدمة ) ، واألجهزة ( البنية التحتية كخدمة ) ، وبيئات التطبيق بأكملها ( النظام األساسي كخدمة ) . إنترنت األشياء ( IoT ) : هو تضمين أجهزة االستشعار في العديد من األجهزة ( األضواء والتدفئة وتكييف الهواء واألجهزة المنزلية ، وما إلى ذلك ) بحيث يمكن لهذه األجهزة اآلن االتصال باإلن ترنت السحابي والحوسبة االفتراضية للمحاكاة األمنية اآلثار وإنترنت ة األشياء Security Implications of Virtualization, Cloud Computing, and the Internet of Things